Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Lek liet aanvaller macOS-systeem overnemen met usb-drive

Het Japanse beveiligingsbedrijf Trend Micro heeft details vrijgegeven van een lek dat door Apple in oktober is gedicht. Het lek maakte het mogelijk om een kwetsbaar systeem over te nemen met een kwaadaardige geheugendrager, zoals een usb-drive of sd-kaart.

Volgens het bedrijf was de kwetsbaarheid met kenmerk CVE-2017-13811 aanwezig in het macOS-onderdeel fsck_msdos. Dat is een tool die aangesloten apparaten op fouten controleert als ze zijn geformatteerd in het bestandssysteem FAT. Zodra een dergelijk randapparaat wordt aangesloten, wordt de tool uitgevoerd. Het bedrijf kwam erachter dat de kwetsbaarheid het mogelijk maakte om op die manier code uit te voeren op systeemniveau door gebruik te maken van bijvoorbeeld een kwaadaardige usb-stick.

De kwetsbare code is ook aanwezig in andere besturingssystemen, waaronder Android en systemen op basis van BSD, aldus Trend Micro. Het bedrijf heeft de verschillende ontwikkelaars op de hoogte gesteld, maar ontving geen antwoord. Google zei dat het de kwetsbaarheid niet gaat oplossen, omdat de tool in Android draait 'binnen een zeer beperkt SELinux-domein'. Dat is een techniek waarmee beheerd kan worden wat op een systeem uitgevoerd mag worden en die gebruikers toegangsmachtigingen laat instellen aan de hand van mandatory access controls.

Trend Micro is de aanval nog niet 'in het wild' tegengekomen. Doordat er een usb-drive of ander opslagmedium nodig is voor de aanval, is fysieke toegang tot een kwetsbaar apparaat vereist om deze uit te voeren. Apple heeft het lek inmiddels gedicht en omschrijft de gevolgen als 'het uitvoeren van willekeurige code op systeemniveau'.

Door

Nieuwsredacteur

75 Linkedin Google+

Reacties (75)

Wijzig sortering
TITEL MOET ZIJN

Lek laat aanvaller verschillende besturingssystemen overnemen met usb-drive maar heeft het alleen ook echt gedaan op MacOS.


edit: gezeur over zpelvauten

[Reactie gewijzigd door KaiTak op 23 november 2017 14:06]

Titel moet eigenlijk zijn: "beveiligingsupdate macOS lost zwaar beveiligingsprobleem op in veelgebruikte softwarebibliotheek"; dat is namelijk wat het bronartikel zegt.

Apple is trouwens wel bijzonder kwetsbaar, gezien bijvoorbeeld Android via SELinux beschermd is en de meeste BSD varianten pas kwetsbaar worden als de gebruiker handmatig een bestandssysteemcheck uitvoert. Het is namelijk vooral het automatisch aanroepen van de file system check die dit lek gevaarlijk maakt.
Maar ja, als je fysiek een stick in een Mac kan stoppen dan kun je ook in single-user mode booten en op die manier code runnen als root. Dus dit lek is maar in hele specifieke gevallen nuttig voor kwaadwillenden.
Euhm nee. SU boot is uitgeschakeld als je Filevault 2 hebt ingeschakeld omdat je EFI ook vergrendeld wordt. Met efi lock kan je niet booten van andere partitie anders dan de “blessed” partitie. Voor ander blessing heb je root rechten nodig.
prima, maar hoezo boot cmd-s van een andere partitie ?
mwah, zonder firmware wachtwoord kom je daar niet in hoor ;)
Ik dacht dat vriend en vijand het op t.net eens was dat hacks niet serieus genomen worden als je er fysieke toegang tot de hardware voor nodig hebt.
Met exploits via een USB-stick als uitzondering daarop.
Zolang op de parkeerplaats gevonden USB-sticks vaak gewoon in de PC gestopt worden om te kijken wat er op staat, valt het in dezelfde categorie als een foute link in een email of op een website.
(en eigenlijk ook als reactie op @Ancoo @Gé Brander @GertMenkel )

Er in de media al diverse keren aandacht besteedt aan de gevaren van 'verloren' c.q. uitgedeelde USB-sticks de laatste jaren.
Nou, dan ben je volgens mij wat te simpel aan het denken. Als jij ergens bent en je laat je laptop even onbeheerd achter
Ja, dat heet fysiek contact. Dat is net zoiets als 'even' de voordeur van je woning open laten staan. Gaat vast vaak goed, maar toch zal niemand verrast zijn als je autosleutels van de koffietafel gejat blijken te zijn.

Dan kun je toch moeilijk over de aannemer die het huis gebouwd heeft klagen dat het niet veilig gebouwd is?
Er is zeker aandacht besteed aan gevonden USB-sticks. Maar, als ik het aan (niet-technische) mensen in de omgeving vraag, weten weinig mensen dat je er een virus mee kunt oplopen. Normale mensen zitten nu eenmaal niet de hele dag te denken over waar ze nou allemaal voor moeten uitkijken of ze ergens een virus op kunnen lopen, ze willen gewoon hun baan doen.

En, zoals ik zei, leven sommige mensen in de waan dat er geen virussen zijn voor macs.

Het maakt niet uit of er veel aandacht aan besteed is, mensen trappen er nog steeds in en zullen dat altijd blijven doen. Softwarebeveiliging is ook een groot gedeelte de gebruiker tegen zichzelf beschermen.
als ik het aan (niet-technische) mensen in de omgeving vraag, weten weinig mensen dat je er een virus mee kunt oplopen.
Volgens het artikel wat je linkt, trappen 4 van de 5 mensen er niet in. Dus 80%, dat valt toch juist mee?
En, zoals ik zei, leven sommige mensen in de waan dat er geen virussen zijn voor macs.
In vergelijking zijn er weinig virussen voor OS X, maar het hele punt is: Als je een USB-stick in iemands Mac moet kunnen steken voor het virus zijn werk kan doen.. En je moet als user ingelogd zijn, anders doet OS X nog steeds niks met die USB-stick.. Tja dan zit je dus ingelogd en fysiek, zelf achter een computer. Niet erg indrukwekkend om het syteem dan over te nemen.

Ook zonder zwakheid of virus kan elke leek dan eenvoudig de computer overnemen door bijvoorbeeld op te starten vanaf een USB-stick.
Nou ja, mijn punt is dus dat de aanvaller niet het gebouw in hoeft en allerlei tools te starten en trucs uit te halen.
Als een hacker naast je computer staat (al is het voor vijf minuten) is het game over. Als ze alleen maar buiten het gebouw door het raam kunnen turen en hopen om binnen te komen is dan ben je vrij veilig. Dat is net het verschil.

Er is tenslotte een reden dat Microsoft al enkele jaren niet meer automatisch setups runt zodra je een USB stick in je computer stopt.
Nou ja, mijn punt is dus dat de aanvaller niet het gebouw in hoeft en allerlei tools te starten en trucs uit te halen.
Mijn punt is dat het niet fysiek bij de computer kunnen een cruciale rol speelt. Je kan het één niet los zien van het ander. Als je anderen bij je computer laat én ook nog je computer ontgrendeld laat (want anders werkt dit niet) geef je toch al je beveiliging compleet op.

Alsof je in de soep spuugt en daarna klaagt dat het niet hygiënisch is dat iemand er met zijn vinger in dipt om te proeven :X
Maar die open voordeur is alleen het fysieke contact of de gevonden USB-stick.
In dezelfde analogie is de exploit niet het weggrissen van de autosleutels van de koffietafel, maar het kunnen openen van de grondkluis onder die koffietafel. In dat geval zou ik graag willen zien dat die grondkluis gefixt wordt, zodat ik alsnog de enige ben die er in kan komen, ook al staat mijn voordeur open.
Het blijft een groot verschil. Geen verzekering zal een kraak van je grondkluis nog dekken, als blijkt dat je je voordeur open liet staan, ook als er niets mis was met de kluis.
Elke analogie gaat ergens mank.
Ik neem aan dat je begrijpt wat ik bedoel.
Hoewel fysieke toegang nodig is, kan dit in dit geval ook indirect. Zijn genoeg mensen die gevonden USB stick in hun computer steken om te kijken wat erop staat/ kijken of eigenaar te vinden is/ handig vinden om gratis extra usb stick te hebben.
Nou, dan ben je volgens mij wat te simpel aan het denken. Als jij ergens bent en je laat je laptop even onbeheerd achter (zelfs met je rug er naar toe als je even staat te praten met iemand) en iemand stopt er onopvallend even een USB stick in en voordat je het door hebt er weer uit haalt, dan ben je dus al de spreekwoordelijke L*L. In die tussentijd kan er dus al spyware/malware/virussen op je systeem gezet zijn.
Dat ligt er een beetje aan. Er zijn genoeg maatregelen te nemen, zelfs tegen fysieke toegang. Bij macOS zijn dit soort dingen bijvoorbeeld bijzonder goed geregeld. Als je full disk encryption aan hebt met alle secure boot opties aan en je computer uit staat, kan het bijzonder lastig zijn om die te hacken. Als je hem aan zet en met een usb stickje root access kan krijgen is dat toch wel een vervelend beveiligingslek.

Daarnaast hoeft het niet de aanvaller te zijn die de toegang heeft. Een veelgebruikte methode om bij bedrijven binnen te komen is om USB sticks uit te delen/te strooien en te wachten tot werknemers die in hun pc pluggen waarna een exploit triggert. Aangezien het idee dat "macs kan helemaal geen virussen kunnen krijgen" nog steeds in sommige kringen leeft, kan dit snel tot datalekken en hacks leiden. Daarom is het oplossen van zo'n lek nou belangrijk.
Precies, als je achter het toetsenbord zelf kan komen zijn er tientallen manieren om binnen korte tijd toegang te krijgen. Van een keylogger tot social engineering (ken JIJ alle mensen die in de IT afdeling werken?).
Niet mee eens. Tegenwoordig is de data op een devices encrypted, fysieke toegang zou niets waard moeten zijn zonder wachtwoord.

Als ik het lek goed begrepen heb kan je hiermee het login/lock-scherm van een Mac omzeilen als de gebruiker is ingelogd. Zeker allemaal minder spannend dan een bug die op afstand kan worden misbruikt maar wat mij betreft nog steeds interessant.
Toch is het zo. Als je bij een computer kan, kun je feitelijk alle beveiligingen omzeilen. Kijk maar naar de zaak met de beveiligde iPhone (als extreem voorbeeld). Ondanks dat de iPhone in kwestie maar een beperkt aantal inlogpogingen toestond voor hij zichzelf zou wissen, kon hij gekraakt worden door simpel gezegd alle data eert te kopiëren naar een virtuele iPhone of andere hardware, waarop men ongestraft pin-codes kon uitproberen.

Je Mac doet niets met een USB-stick (of ander apparaat) zolang je niet bent ingelogd. Hij mount hem gewoon niet. Probeer maar. Tenzij het een opstartschijf is (maar dan nog start hij niet op van een (zie de 'fsck_msdos' quote) DOS schijf) en je hem laat opstarten vanaf die externe 'schijf' / dat volume. Dat kan weer alleen als je bij de computer kan om die opstartschijf er mee te verbinden.. dus weer die fysieke toegang die cruciaal is. Kortom, interessant: eens, maar niet iets wat veel veranderd aan de bestaande situatie qua veiligheid: Kwestie van je account sluiten als je er niet achter zit.
Woordje 'zwaar' lees ik nergens in het bronartikel.
Goed punt, dat was meer eigen interpretatie. Dat woordje kan er inderdaad wel uit.
Het is niet op alle systemen volgens het bericht.

Want op de Android wordt het niet mogelijk gemaakt door de SELinux.
Vraag me af wat de impact echt zou zijn met SIP op OS X. Zou de code op zo’n hoog niveau uitgevoerd worden?

SElinux is wel een stuk strikter af te richten gelukkig.
Want op de Android wordt het niet mogelijk gemaakt door de SELinux
Niet helemaal waar. Op Android werkt het lek wel, maar kan de code vervolgens niet veel omdat het door SELinux beperkt wordt.

Probleem met deze redenering is echter dat er vaak combinaties van meerdere lekken gebruikt worden om ergens in te breken. Dat je deze aanval niet op zichzelf kan gebruiken wil niet zeggen dat je hem niet kan gebruiken om een aanval op te zetten. Hiermee krijg je de voet tussen de deur en kan je code uitvoeren, dat kan je in staat stellen om b.v. een ander bekend lek in het Linux kernel te misbruiken.

Dit is vooral kwalijk omdat veel Android toestellen op erg oude Linux kernels draaien, simpelweg omdat de fabrikant van de hardware/SoC alleen bepaalde versies ondersteund. Let wel dat dit los staat van de Android versie. Je kan een toestel hebben met de laatste Android versie er op en toch een oud kernel.
Moet zijn “laat het overnemen, behalve op MacOS waar het gefixed is” ;)
Eigenlijk had titel moeten zijn:
"Timing antivirus bedrijf is belachelijk slecht door te stellen dat je een met een usb een mac kunt overnemen"

Usb+ Intel IM...

Maar los daarvan als je er fysiek bij kunt maakt het allemaal niets meer uit.
Als je dan al hier (de verkeerde plaats) een verbetering aandraagt, zorg er dan op z'n minst voor dat je zelf geen fouten maakt. Het is "besturingssysteem", zonder spaties en met twee 's'-en.

Daarnaast klopt het ook gewoon niet wat je zegt. Het 'lek' zit in verschillende besturingssystemen, maar de aanvaller heeft alleen op macOS de exploit uitgevoerd. Wil niet zeggen dat het niet kan, maar je kunt niet zeggen dat de aanvaller iets gedaan heeft wat hij niet gedaan heeft.
Ik vind het wel gek dat Apple prominent in de titel genoemd wordt maar dat andere software en fabrikanten er ook last van hebben.
Ik denk dat BSD ((EDIT:)XNU, de kernel van iOS en MacOS, is hierop gebaseerd) het meeste kwetsbaar is en er daar daadwerkelijk problemen kunnen ontstaan door deze exploit.

Bij Android is de kwetsbaarheid beperkt door het gebruik van SELinux

[Reactie gewijzigd door jja2000 op 23 november 2017 12:41]

iOS devices hebben geen SD-kaart of USB-poort voor de aanval...
Het is wel dezelfde Darwin kernel, ik wilde niet per se aangeven dat iOS ook direct vatbaar is.
Nee hoor XNU is de kernel van zowel macOS als iOS. XNU is een hybride Kernel met onder andere Mach en BSD systeem Services

https://nl.wikipedia.org/wiki/XNU

Darwin is alleen een set componenten die door macOS en iOS werd gebruikt :)

https://nl.wikipedia.org/wiki/Darwin_OS
Darwin OS is een vrij en open source besturingssysteem gebaseerd op Unix dat voor het eerst werd uitgegeven door Apple in 2000. Het is tevens de kern van een set componenten waarop Mac OS X en iOS ontwikkeld werden.
Ah oké, I stand corrected.

DIt lijkt vrij veel op het hele GNU/Linux debacle :P
Of je dan kwetsbaar bent weet ik niet. Ik ken overigens niemand die dit soort adapters gebruikt.
Er van uitgaande dat iOS ook met deze tool geleverd wordt (fsck_msdos) en de SD-kaart op eenzelfde manier als malafide kan worden geprepareerd, verwacht ik van wel. Mogelijk dat de code welke wordt uitgevoerd dan tevens voor ARM gecompileerd moet zijn, maar het lek zal hetzelfde werken.
Het gaat immers niet om het OS, maar om de tool welke lek is.

Echter, als één van deze voorwaarden geschonden wordt, zal het al veel minder impact hebben of zelfs niet meer mogelijk zijn.
Moet eerlijk zeggen dat ik me vooral afvraag of iOS met de tool wordt geleverd, gezien deze onder normale omstandigheden nooit met FAT-partities te maken krijgt... Tenzij je dus inderdaad dat soort adapters gaat gebruiken, maar zelfs dan verwacht ik eerder ext, APFS (want Apple) of NTFS partities.
Die adapter gebruik je om bijvoorbeeld een kaartje uit een fotocamera aan je iPad te hangen om de foto’s te importeren. Die kaartjes zijn meestal FAT of ExFAT geformateerd.
oh echt niet. De verreweg meest waarschijnlijke reden dat je die adapter gebruikt is om foto's uit camera's op je iPhone/iPad te zetten - en doe jij eensch een gokje hoe SD-kaartjes in cameras geformatteerd zijn? "+
Persoonlijk zou ik eerder verwachten dat mensen daar hun MacBook / iMac voor gebruiken, zodat het ook gelijk in iCloud gesynct is (gelijk een backup) en eenvoudig binnen te halen op alle andere iDevices. ;)
Maar tegelijkertijd kan ik me ook voorstellen dat dit onderweg een stuk lastiger is, en dat dan een iPad of iPhone veel makkelijker meenemen is. :) Kan je in ieder geval tussentijds je camera leeg rausen, en nog meer mooie foto's nemen; uitzoeken komt later wel. :D

Ik zat voornamelijk met het uitbreiden van storage in m'n hoofd, gezien Apple veelal geen SD-kaart slot heeft in haar devices.
Tsja, de gebruiker van de adapter zal in dit geval de aanvaller zijn. Dus dat is geen belemmering.

Op zich is dit allemaal een weinig spannend verhaal lijkt me. Kwetsbaarheid, kwetsbaarheid wordt ontdekt, responsible disclosure en gepatcht.

Precies zoals het zou moeten lopen. Dus netjes van TrendMicro, goede reactie van Apple en of dat SELinux verhaal afdoende is? Ik geloof Google voorlopig wel ff daarover.
Ik ken anders hybride USB-Lightning sticks en die worden dus ook door iOS devices wordt ondersteund.
Het betreft niet zozeer een kwetsbaarheid in Darwin, XNU of BSD. Het gaat om een kwetsbaarheid in een user space utility, in dit geval het programma waarmee een MS FAT bestandssysteem kan worden gecontroleerd (alvorens het aan te koppelen).
De rol van het OS is dat het de file system check start en bepaalt daarmee de context waarbinnen dat proces wordt uitgevoerd. Ogenschijnlijk is in Android daar meer acht geslagen op het beperken van de impact van mogelijke aanvallen.
Komt omdat Android dus wel vulnerable was, maar het geen schade kon uitrichten (strenge SElinux instellingen). BSD wordt gewoonweg niet veel gebruikt.
Ik snap dat BSD niet veel gebruikt wordt gebruikt maar dat veranderd niet het feit dat het een algemene software library is i.p.v. MacOS fout (los van de implementatie van MacOS)
Toch wel aangezien macOS blijkbaar de enige is die het automatisch gaat uitvoeren. Op een BSD moet je zelf al super user zijn en de check handmatig starten.
Ik geloof dat ook enkel bij Mac het kwetsbare programma in kwestie automatisch wordt uitgevoerd, en bij Linux en BSD bijvoorbeeld enkel als de gebruiker dat manueel doet.
Ja tweakers is de nieuwe Telegraaf. En dat krijgt dan prijzen. Zet dan in de titel dat Apple als enige een lek gedicht heeft. Stuk positiever en nog waar ook.
Kan je eventueel hier aankaarten als je de reden graag wilt weten: Geachte Redactie
omdat dit nu specifiek op Mac computers van toepassing is? Zodra het bij een windows PC is, wordt dat ook meteen breed aan MS verweten, dus waarom niet als het nu aan Apple de beurt is.
@SuperDre heb je het artikel wel gelezen?
tja, nu wil men natuurlijk de schuld ergens anders leggen, maar het feit is dat Apple MacOS daarop gebaseerd heeft. Zij hebben daar indertijd de keuze voor gemaakt.
op mac osx is het toch populair om 'installers' aan te bieden als app in een disk image, als zo'n dmg bestand als fat is geformateerd kan je dus wel makkelijk op afstand een aanval doen.
Dit is wel buiten de app store.

[Reactie gewijzigd door g4wx3 op 23 november 2017 14:06]

De vraag is of zo'n dmg (als MSDOS filesysteem) een fsck start.
Kweet het niet zeker, maar die kans lijkt me zeer klein aangezien een DMG image geverifieerd wordt met de toegevoegde signature en fsck dus ook niet nodig is.
Klopt en de app store is lang niet toereikend voor de vele hoeveelheden aan apps.
De kwetsbare code is ook aanwezig in andere besturingssystemen, waaronder Android en systemen op basis van BSD
*Wrijft in z'n handen in afwachting op een PS4 softmodhax* O-)
Het lijkt er niet op dat deze exploit een kernel exploit is, anders zou dit expliciet genoemd worden.
Wat leren we bij - android gebruikt selinux. De rest is gewoon zoals linus zegt - pech gehad - en dan moet je patchen als't lek is en niet gestopt wordt door beveiligingsmechanismen. En zelfs als er beveiligingsmechanismen zijn moet je oplossen maar dan is er iets meer tijd.
Omdat je fysiek toegang tot het product nodig hebt is dit ook niet interresant voor bijvoorbeeld hackers.
Wel wanneer je je specifiek op een bedrijf richt. Laat een paar besmette USB-sticks slingeren op de parkeerplaats bij dat bedrijf en er is altijd wel een minkukel die zo'n stick uit nieuwsgierigheid in zijn PC steekt.
minkukel ??? Hoop ik niet dat je op vakantie je usd stick met vakantiefoto's verliest ... (of je partner ...) krijg je dus volgens je eigen regels de foto's nooit terug ...
Ik heb het over een USB stick die op het parkeerterrein van een bedrijf gevonden wordt. In dat geval is het risico te groot om de stick zomaar in een PC te steken.
Ik mag wel hopen dat de stick dan bij de beveiliging wordt ingeleverd en door een ICT-er op een beveiligde PC wordt nagekeken. In dat geval is er sprake van een gecontroleerd proces door iemand die geen minkukel is. :)

Wanneer ik een camera mee heb voor vakantiefoto's, is mijn eerste foto altijd een plaatje met informatie in alle relevante talen, juist voor dit soort gevallen.
Dus op basis waar een stick gevonden wordt, moet de vinder bepalen of hij de stick al dan niet moet weggooien ?
Let wel, ik reageer niet om kritiek te hebben (ik heb ook een file op mijn datadrager met contact gegevens voor een eventuele vinder) , maar reageerde met name op je uitdrukking: "minkukel" ...
Ik heb zelf ook wel eens een stick gevonden, en die inderdaad op het werk op de best beveiligde PC getest ... maar kan begrijpen dan een gemiddeld persoon daar niet echt over nadenkt aka ter gieder trouw denkt een medemens een plezier te doen ...
Nee, op basis van de vindplaats moet het vervolg bepaald worden. Bij een bedrijf is ICT de juiste plaats om de inhoud te bekijken op een goed beveiligde PC. Wanneer ik een stick bij het strand zou vinden zou ik die zelf bekijken, in de hoop de eigenaar te achterhalen.
Deze exploit lijkt me juist geschikt voor een gerichte hack en weinig interessant voor de PC van een toevallige vinder bij het strand. Dan nog zou ik mijn tablet met USB poort gebruiken, omdat de kans erg klein is dat een eventueel aanwezige exploit rekening houdt met dat OS.
Meestal wordt er ingebroken op een bedrijf door middel van ransomeware of iets dergelijks.
Ransomware is het doel niet het middel om in te breken. Het middel is vaak wat men spearphising noemt, of inderdaad gewoon een USB stick laten slingeren, of nog mooier gewoon naar binnen lopen.
Waarom een artikel over iets dat zo oud is? MacOS zeurt elke dag om updates als je het niet doet, dus hoeveel mensen gaan nog een ongepatchte versie hebben?
Een hoop. Op enigszins outdated hardware. Geen idee hoelang je op een OSX machine updates krijgt.

[Reactie gewijzigd door W00fer op 23 november 2017 17:28]

fsck_msdos, grappig :+

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield V Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*